Развёрнутая на Ближнем Востоке кампания Earth Bogle показывает активные темпы распространения вредоносного ПО. Ближневосточные геополитические темы в качестве приманки для потенциальных жертв оказывают большое значение в распространении угрозы.
Хакерская группировка, стоящая за этой кампанией, использует общедоступные облачные сервисы для размещения вредоносных Cabinet (.cab) — формат архивный файлов, применяющийся в операционных системах семейства Microsoft Windows. Формат поддерживает сжатие и цифровые подписи.
» data-html=»true» data-original-title=»CAB»>CAB-файлов. Файлы имеют названия, связанные с местной геополитикой. Злоумышленники не стесняются в методах, чтобы побудить носителей арабского языка открыть зараженный файл.
Один из вредоносных CAB-файлов называется следующим образом: «Голосовой разговор между Омаром, рецензентом командования войск Тарика бин Зияда, и эмиратским офицером.cab». Злоумышленник использует приманку якобы конфиденциального голосового разговора между офицером эмиратской армии и членом ополчения Тарика бин Зияда (TBZ), влиятельной ливийской группировки. Название побуждает заинтересованных жертв открыть файл и активировать вирус.
Эти приманки очень схожи с кампанией, раскрытой в декабре 2022 года, где использовались рекламные инструменты Facebook, перенаправляющие на поддельные страницы ближневосточных новостных агентств.
«Злоумышленники используют общедоступные облачные хранилища, такие как files[.]fm и failiem[.]lv, для размещения вредоносного ПО. А скомпрометированные веб-серверы распространяют NjRAT (сокр. от New Jersey Remote Access Trojan) — это троян, который позволяет злоумышленнику удаленно контролировать зараженный компьютер. Он был обнаружен в 2013 году и использовался для кражи личной информации, разведки и нападения на корпоративные сети. NjRAT также может использоваться для запуска DDoS-атак и установки дополнительного вредоносного ПО.
» data-html=»true» data-original-title=»NjRAT»>NjRAT», — говорится в отчёте Trend Micro, опубликованном 17-го января.
После загрузки вредоносного CAB-файла запускается обфусцированный сценарий VBS для извлечения вредоносного ПО со скомпрометированного хоста. Затем извлекается сценарий
Windows PowerShell — оболочка командной строки на основе задач и языков сценариев. Она специально разработана для администрирования систем. Встроенная в .NET Framework, оболочка Windows PowerShell помогает ИТ-специалистам и опытным пользователям контролировать и автоматизировать процесс администрирования операционной системы Windows и приложений, работающих в системе Windows.